Защита персональных данных: как соблюсти требования закона?

1 января 2011 г. вступил в силу Закон Украины от 01.06.2010 г. № 2297-VI «О защите персональных данных» (далее — закон), в соответствии с которым под понятие «персональные данные» подпадают сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано с их помощью, в том числе домашний и электронный адрес, номера телефонов (мобильного и домашнего) и т.д.

Термин «база персональных данных» также представлен достаточно широко. Это именная совокупность упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных. В соответствии с определением, к ней могут быть отнесены базы данных сотрудников, клиентов, партнеров предприятия. «Даже визитница и корпоративный телефон подходят под это понятие», — отметил И. Костин. Именно потому этот закон затрагивает каждое предприятие и каждого его сотрудника. Однако для того, чтобы воплотить его положения в жизнь, нужно принять еще много подзаконных нормативно-правовых актов, которые, по мнению докладчика, будут изданы уже во второй половине 2011 г.

И. Костин отметил, что законом запрещена обработка персональных данных о расовом или этническом происхождении; политических, религиозных или мировоззренческих убеждениях; членстве в политических партиях и профессиональных союзах; данных, которые касаются здоровья или половой жизни. Однако эти положения не применяются в ряде исключений, например: если обработка персональных данных совершается при условии предоставления субъек­том персональных данных однозначного согласия на их обработку; необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения здравоохранения, на которого возложены обязанности относительно обеспечения защиты персональных данных; если такие данные были обнародованы самим субъектом.

Законом предусмотрено, что база персональных данных подлежит обязательной регистрации путем направления уведомления уполномоченному органу. При этом срок ее регистрации составляет 10 рабочих дней. Заявление о регистрации базы персональных данных должно содержать такие сведения:

• обращение о регистрации;
• информация о владельце;
• наименование и местонахождение базы персональных данных;
• цель обработки персональных данных;
• информация о распорядителях базы персональных данных;
• подтверждение обязательства обеспечивать защиту персональных данных.

Важно обратить внимание на то, что в случае изменения сведений, необходимых для регистрации соответствующей базы (информация о распорядителях, изменение цели обработки персональных данных и т.п.), ее владелец должен в течение 10 рабочих дней уведомить уполномоченный государственный орган.

Сегодня регистрация базы персональных данных невозможна до того момента, пока не будут приняты и вступят в силу нормативные подзаконные акты.

Государственная служба защиты персональных данных — новый центральный орган исполнительной власти, созданный в соответствии с Указом Президента Украины от 09.12.2010 г. № 1085/2010 «Об оптимизации системы центральных органов исполнительной власти», деятельность которого направляет и координирует КМУ через министра юстиции Украины.

Указом Президент Украины от 28.12.2010 г. № 1270 Алексей Мервинский назначен председателем Государственной службы защиты персональных данных, а Указами Президента Украины от 17.01.2011 г. № 88/2011 и № 89/2011 его первым заместителем назначен Олег Фролов; заместителем — Владимир Козак.

Особый интерес для фармацевтического бизнеса представляют положения закона, регулирую­щие обработку персональных данных, которая осуществляется в базах таких данных. Нормами закона предусматривается обязательное получение письменного документированного согласия на такую обработку от лиц, чьи данные составляют такие базы, уведомление лица о его правах, целях сбора персональных данных и лицах, которым передаются эти данные в течение 10 рабочих дней (кроме сбора из открытых источников), а также в связи с изменением (уничтожением, ограничением) доступа к персональным данным.

Письменное согласие на использование персональных данных должно содержать волеизъявление относительно разрешения на обработку персональных данных; цель их обработки; объе­м персональных данных, которые можно обрабатывать; разрешение на их передачу; условия доступа (распорядителей, третьих лиц); срок обработки; права субъекта персональных данных (в письменной форме).

Что же касается цели обработки персональных данных, докладчик отметил, что она определяется в согласии субъекта персональных данных; фиксируется в заявлении на регистрацию базы персональных данных; сформулирована в законах, иных нормативных актах, положениях, учредительных или иных документах, которые регулируют деятельность владельца базы персональных данных. В случае изменения цели обработки, необходимо получить согласование субъек­та персональных данных.

И. Костин отдельно обратил внимание присутствующих на то, что использование персональных данных сотрудниками субъектов право­отношений осуществляется исключительно в соответствии с их профессиональными или трудовыми обязательствами, и они не должны допускать разглашения персональных данных.

Базы персональных данных, полученных из открытых источников, также регистрируются. Уведомление субъекта о включении его персональных данных в базу не осуществляется; реализуется только уведомление о передаче, изменении, уничтожении, ограничении доступа к персональным данным. При передаче персональных данных третьим лицам получение согласия субъекта персональных данных также является необходимым.

Закон определяет исключительно открытый режим доступа к персональным данным, если это:

• обезличенные данные;
• данные категорий лиц, определенных законодательными актами;
• данные физических лиц, которые претендуют занять или занимают выборные должности (в представительских органах) или должность государственного служащего первой категории.

Докладчик отметил, что сегодня законодательство Украины не содержит специальных норм, которые устанавливают ответственность за несоблюдение закона в сфере защиты персональных данных.

Ответственность отдельных физических лиц относительно нарушения неприкасаемости частной жизни установлена Уголовным кодексом Украины (ст. 182), Гражданским кодексом Украины (моральный вред).

Однако 03.02.2011 г. в первом чтении принят законопроект от 11.11.2010 г. № 7355 «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных», которым предусмотрена административная и уголовная ответственность за нарушение закона, а именно:

• за уклонение от регистрации предусматривае­тся штраф от 300 до 500 необлагаемых минимумов доходов граждан (от 5100 до 8500 грн.);
• за передачу персональных данных третьим лицам — штраф от 500 до 1000 необлагаемых минимумов доходов граждан (от 8500 до 17000 грн.) или исправительные работы до 2 лет, или арест сроком до 3 мес;
• за нарушение установленных законом требований к защите информации о лице, которое привело к несанкционированному распространению или искажению этой информации и нанесло значительный вред лицу, предусмотрен штраф от 800 до 2000 необлагаемых минимумов доходов граждан (от 13 600 до 34 000 грн.) или исправительные работы на срок до 2 лет, или арест сроком до 6 мес, или ограничение свободы сроком до 2 лет.

По мнению докладчика, для того чтобы закон начал работать КМУ необходимо разработать такие нормативные акты:

• типовой порядок работы с базами персональных данных;
• порядок обработки персональных данных, которые относятся к банковской тайне;
• положение о Государственном реестре персональных данных и порядок его ведения;
• документ, определяющий размер оплаты за услуги предоставления доступа к персональным данным государственными органами.

И. Костин отдельно рассмотрел слабые стороны закона, среди которых:

• необходимость регистрировать абсолютно все базы персональных данных;
• сложность соблюдения формы согласия субъекта персональных данных;
• необходимость предоставления большого количества уведомлений относительно изменений в базе персональных данных;
• неясность относительно формулировки цели обработки персональных данных в документах, регулирующих деятельность владельца базы;
• неадекватность правового регулирования обработки персональных данных, полученных из открытых источников;
• необходимость получения согласия на обработку любых персональных данных.

Адвокат рекомендовал владельцам (распорядителям) базы персональных данных уже начинать разрабатывать необходимые документы, среди которых:

• положение, регулирующее цель обработки персональных данных, требования к порядку обработки, порядку регистрации персональных данных и ответственных лиц, порядку направления письменных уведомлений, и, опять же, ответственных лиц; условия хранения и доступ к базам персональных данных и т.д. С этой целью необходимо привести внутренние документы корпоративной политики в отношении автоматизированных систем и доступа к ним в соответствие с законом; провести инвентаризацию баз персональных данных и четко установить их местонахождение в офисе (для контролирующих органов), указав это в документах;
• образцы согласия и уведомлений субъекта персональных данных, при этом внеся изменения и дополнения в договора с физическими лицами (в том числе сотрудниками), чьи данные обрабатываются (кадры, бухгалтерия, поставщики), а также предусматривая получение согласия на доступ к персональным данным без необходимости дальнейшего уведомления о доступе (ст. 21) и т.д.;
• образцы уведомления уполномоченного органа;
• договор с субъектами, которые обрабатывают базы персональных данных;
• порядок работы с запросами субъектов персональных данных, третьих лиц;
• порядок отношений с распорядителем (для владельца) баз персональных данных.

Подводя итоги, И. Костин привел высказывание Шарля Луи Монтескье, французского писателя, правоведа и философа: «Жестокость законов препятствует их соблюдению». К сожалению, положения закона не дают полного представления о том, как именно следует их выполнять, чем руководствоваться и на что обращать внимание, а также с чего начинать приведение собственного бизнеса в соответствие с его нормами, особенно если в распоряжении компании находятся многотысячные электронные базы данных и картотеки, содержащие сведения о врачах, пациентах, сотрудниках, подрядчиках, партнерах и т.д.

Адвокат также проинформировал присутствующих, что 8 апреля 2011 г. в конференц-зале гостиницы «Русь» (Киев) состоится I Ежегодный форум по фармацевтическому праву, организатором которого выступил Комитет по фармацевтическому праву Ассоциации юристов Украи­ны, а генеральным информационным партнером — «Еженедельник АПТЕКА».

К участию в мероприятии приглашаются юристы, практикующие в сфере фармацевтического права (штатные юристы фармацевтических компаний, юристы частной практики или работающие в юридических фирмах, обслуживающих отрасль), а также представители компаний — производителей лекарственных средств, которых интересуют вопросы правового регулирования различных сфер фармацевтического бизнеса.

В завершение семинара уже традиционно был проведен розыгрыш сертификатов на следующие мероприятия компании. Напомним, что 22 марта 2011 г. «Правовой Альянс» в рамках цикла вечерних курсов для представителей фармацевтических компаний проведет мини-семинар «Защита данных регистрационного досье» (www.apteka.ua/article/74563)

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!